擔心簡訊驗證碼不安全，接下來多因素認證或將接班

如今隨著互聯網越來越深的紮根在我們的日常生活之中，甚至現在僅僅依靠網路，我們已經能夠實現「宅生活」，並且相信為數不少的人已經很難想像沒有網路的日子。而為了能夠使用各式各樣的網路服務，我們也需要進行各種APP上註冊賬號，並成為它們的用戶。

身份認證是打開數字世界的鑰匙

在互聯網時代，用戶身份認證無疑是安全的第一道大門，也是用戶在訪問各類應用的必經過程，因此確保用戶的身份安全則是互聯網業務開展的安全基石，也決定著各項資源訪問許可權的合理分配，而身份認證的正確性，也直接影響各項許可權分配的合法性或合理性。

眾所周知，互聯網是一個由二進位構建的世界，不論是手機還是PC與用戶的交流都需要通過數字身份，也就是我們常說的「賬號+密碼」。當然了，最常規的「賬號+密碼」僅僅是基礎的靜態口令認證，密碼一旦被設定之後，除非用戶主動更改，否則將保持不變，這也就就自然帶來了顯而易見的問題——密碼被黑客通過木馬、撞庫等方式盜取了怎麼辦?

由此，也引申出更為先進的動態驗證模式。而簡訊驗證碼就是其中的代表，但可惜的是國內警方曾經爆料了「GSM劫持+簡訊嗅探技術」的犯罪方法，也已經說明基於GMS技術的簡訊驗證碼已不再牢不可破。

除了應用廣泛的簡訊驗證碼之外，就要數動態口令最常見了。相信許多遊戲玩家們都對各種「將軍令」、「玲瓏密保鎖」很熟悉，這一類「One-time Password」是根據專門演算法給出的數字序列，也僅僅與使用的時間有關，但是這類動態驗證軟體需要解決的麻煩，就是要保持客戶端與伺服器端的時間處於良好的同步狀態之下，隱含的意思就是需要比較良好的網路環境。

更加安全的多因素認證來了

身份認證技術的發展，在經歷了從軟體認證到硬體認證，從靜態認證到動態認證的過程之後，已經明確這些認證模式都有著各自的缺陷。

因此，如何防範身份冒用也成為了消費者所關心的問題。日前據外媒報道，美國四大通信運營商Verizon、、Sprint、Mobile以及AT&T聯合成立了一家名為Mobile Authentication Taskforce的公司，其目的是打造一個通用的單點登錄平台——Project Verify。

所謂單點登錄，指的是在多個不同的應用系統中，用戶只需要登錄一次之後，就可以訪問所有相互信任的應用系統。通過Project Verify，不論是Verizon還是AT&T的用戶都能夠掌握通過他們的設備共享了哪些信息，以及允許哪些應用程序將會訪問這些信息。而且一旦用戶在手機和應用服務之間建立起最初的握手機制之後，整個平台之上的所以應用程序之間的自動登錄就成為現實。

在之前簡訊驗證碼風波之中，我們曾經討論過雙因子認證(2FA)技術，而這一次Project Verify則是在此基礎上使用了多因素身份驗證，用戶的電話號碼、SIM卡信息、IP地址都是構成這一全新認證系統的基石。用戶需要有一個登陸系統的ID，但是在初次驗證之時還要依次比對電話、SIM卡、安全問題等相關信息。

Project Verify很可能只會是一個孤例

不過對於手機用戶而言，這裡其實有一個很重要的問題，作為一項驗證服務，Project Verify必須獲得APP自身支持並擁有使用其明確的許可才行。而APP之間的互信問題，事實上谷歌也已經有了解決思路，其首次在Android P中引入對網路連接狀態的限制，會禁止APP抓取與自己無關的通信數據包，也就是說某一個APP只能看到與自己有關的信息。這個全新的設置就相當於為用戶搭建了一個較為純凈的隔離器，即使你下載了某個帶有惡意程序的APP，其也很難威脅到Project Verify項目的成員。

單點登錄和多因素認證，在美國四大運營商主導之下的新平台為我們揭示了一個全新的未來。不過可以預見的是，這一項目儘管擁有完美的願景，但是其在實施過程之中也同樣困難重重，因為其不僅需要運營商的支持，APP開發者們的利益也暫時還難以調和。

畢竟這類打通不同系統壁壘的做法，暫時來看並非易事。就以最新的iPhone XsXR為例，連蘋果都只能專為中國提供雙實體SIM卡的特供版，而不是在海外提供的實體卡+eSIM卡的組合，究其原因，就是中國的移動運營商對於自家用戶群體顯得有點「敝帚自珍」，類似Project Verify這樣的「單點登錄」平台其實是很不受運營商待見的，畢竟活躍在這一平台上的用戶，到底應該歸屬於誰，也是個很難回答的問題。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！